Además de las acciones que ya he comentando, Nimda se copia como "mmc.exe" en el directorio de Windows, como "load.exe" en el directorio de sistemas, sobreescribe la biblioteca "riched20.dll" del directorio de sistema y realiza una copia de la biblioteca infectada en todos los directorios que contengan documentos (.doc). Por último, se copia repetidas veces en el directorio temporal de Windows con nombres de archivo aleatorios que empiezan por "mep" o "ma" y terminan con las extensiones .TMP o .TMP.EXE.
"riched20.dll" es una biblioteca de Windows que utilizan los procesadores de texto como Word o WordPad. La sustitución de esta biblioteca por una infectada hace que el Nimda se ejecute cada vez que se utilice uno de estos procesadores de texto.
Asimismo se asegura su ejecución mediante una modificación en el system.ini:
[boot]
shell=explorer.exe load.exe -dontrunoldA continuación modifica una entrada en el registro de Windows para que en el próximo inicio de sistema todas las unidades estén compartidas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\ LanMan\[C$ -> Z$]
En Windows 9x/Me las unidades estarán compartidas sin ninguna clave de acceso, mientras que en Windows NT/2000 a la cuenta GUEST le da derechos de los grupos Administrators (máximos privilegios) y Guests (invitados).
En Windows NT/2000 elimina la clave que instaura la seguridad para compartir de recursos:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\Share\Security
Otras claves son creadas o modificadas para ocultar archivos y extensiones:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\ShowSuperHiddenLa infección continúa infectando archivos .EXE, anteponiendo su código, con la excepción del archivo Winzip.exe al que no infecta.
Aunque es posible intentar la limpieza manual, a base de restaurar las claves del registro, eliminar archivos infectados o instalar de nuevo los modificados, son tantos pasos los que hay que dar que, para no eternizar esta noticia y evitar descuidos, se aconseja el uso de las utilidades que los antivirus están facilitando para realizar la desinfección de manera automática.
2) Propagación:
Finalmente, dos formas más por las que se propaga este virus:
1) Propagación a través del correo electrónico. Las direcciones de las víctimas las recolecta de archivos con extensión .HTM y .HTML, o accediendo a los buzones de correo a través de MAPI. El mensaje que envía en formato HTML explota la vulnerabilidad que comenté en la página principal para intentar autoejecutar el archivo adjunto "readme.exe" nada más ser previsualizado con Outlook y Outlook Express. Para el envío Nimda cuenta con su propia rutina SMTP.
2) Búsqueda de servidores Webs, que lleva a cabo lanzando peticiones GET que intentan explotar vulnerabilidades del Internet Information Server contra direcciones IP al azar. Además de infectar servidores Web, este proceso conlleva un continuo tráfico que, como efecto secundario, puede degradar las comunicaciones en Internet.
Por último, en el código del virus aparece la siguiente cadena a modo de firma:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China